旅行特権割当ておよび検証用個人認証ソフトウェアおよびシステム
【課題】様々な目的地へ、および様々な目的地から様々な時刻に旅行する個人を認証するシステムを提供する。
【解決手段】航空機、船舶、バス、車、および列車を含むいくつかの移動方法に対して、個人の身元および旅行特権識の検証が、調整される。旅行特権は、現在位置を出発する能力、所望の場所に旅行する能力、特定の時刻に旅行する能力、特定の移動方法を使用する能力であるとみなされる。このシステムは、具体的にはオペレータ特権検証を実現し、個人が車両オペレータ特権を受けることを可能にする。こうした特権は、個人の申請時に評価され、制御機関の判断で周期的に更新される。このシステムは、車両の移動中に車両オペレータ特権の検証を可能にし、セキュアな認証装置を車両内にドッキングする装置。
【解決手段】航空機、船舶、バス、車、および列車を含むいくつかの移動方法に対して、個人の身元および旅行特権識の検証が、調整される。旅行特権は、現在位置を出発する能力、所望の場所に旅行する能力、特定の時刻に旅行する能力、特定の移動方法を使用する能力であるとみなされる。このシステムは、具体的にはオペレータ特権検証を実現し、個人が車両オペレータ特権を受けることを可能にする。こうした特権は、個人の申請時に評価され、制御機関の判断で周期的に更新される。このシステムは、車両の移動中に車両オペレータ特権の検証を可能にし、セキュアな認証装置を車両内にドッキングする装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般には、情報セキュリティの分野に関し、より詳細には、様々な移動方法を使用して移動することを望む個人の認証および検証に関する。
【背景技術】
【0002】
(関連する米国出願データ)
本願は、USC119(e)の下で、2002年7月12日出願の「Driver and Vehicle Authentication and Auditiong Apparatus, Method and System for Interfacing with a Vehicle Transponder」という名称の仮特許出願第60/395,361号と、____年__月__日出願の「...」という名称の仮特許出願第60/474,750号の優先権を主張するものである。これらすべては参照によりその実体が本明細書に組み込まれる。
【0003】
(発明の必要性)
旅行特権は、受け入れられる証明書を個人が提示する能力に対して付与される。こうした証明書は、通常、パスポートおよび運転免許証を含み、しばしば、写真が添えられた個人の身分証明書の観察、ならびに、その写真とカード所有者と主張する人の顔との比較に基づく。例えば、通常、その人の名前、国籍、誕生日、誕生地、および写真を含む州発行の運転免許証または政府発行のパスポートが、自称アメリカ人の乗客を特定する。こうした紙ベースの身分証明書は、旅行の安全を危険にさらす可能性のある重大な欠点を有する。他の国籍の旅行者は、運転免許証を使用しないことがあるため、また運転免許証の取得は、パスポートよりも容易であり、制約が少ないため、この議論では、主にパスポートの欠点に焦点を置く。
【0004】
国または地域の法律に応じて変化するが、パスポートは、通常、チェックインおよび/または搭乗券の申込み時、ゲートチェックポイントで、および、入国時に提示される。パスポートは、装丁された紙の小冊子を含み、発行国に応じて色およびサイズが異なる。すべてのパスポートは、一方の表紙裏にパスポートの所有者の名前、国籍、誕生日、および写真(顔写真のみ)を含む。パスポートの各ページには、入国および出国時に入国ビザおよび出国ビザが押印されるが、やはりこれも地域の法律に応じて異なる。例えば、欧州共同体(EC)の各国の国民は、ECの国に入国する際に、その国の国民でない場合であっても、常にパスポートの提示を求められるわけではなく、したがって、その人のパスポートはEC内の旅行を反映しないことになる。米国は、それより幾分厳格であり、航空機経由で入国するすべての人が、パスポートの提示を求められる。
【0005】
アメリカ国民としてパスポートを取得することは、旅券発給局を訪れて証明書を堤出するという単純なものであり、その証明書は、容易に偽造される可能性がある。旅券発給局は、認証のために以前に発行されたパスポートまたは出生証明書を要求するが、こうした文書が入手不能である場合、申請者は、名前、誕生日、出生記録を求めて検索した年、および申請者に関して記録上に出生証明書が存在しないという記録を有する、申請者の居住する州が発行したLetter of No Record、ならびに、ファミリバイブルレコード、洗礼証明書、医師の出生後診断記録、国勢調査記録、病院の出生証明書、または初等学校記録のいずれかを堤出しなければならない。これらのいずれも入手不能である場合、申請者は、おばやおじなどの肉親が申請者の誕生日を保証する出生宣誓供述書を堤出することができる。この形式上のシステムが、偽の証明書でパスポートを申請し、首尾よくパスポートを取得することを可能としている。さらに、パスポートの単純な性質は
、印刷および偽造の技能のある者が偽のパスポートを作成することを容易にしている。
【0006】
米国を出発する旅行者の場合、パスポートは、乗客が航空機に搭乗する前にチェックインで個人認証のために慣習的に提示される。個人は、座席を購入した航空会社のチケットカウンタに行き、チケットおよびパスポートを航空会社のエージェントに提示する。航空会社のエージェントは、その人の大まかな経歴チェックを実施するコンピュータシステムに、パスポートの情報を入力する。航空会社のエージェントはまた、パスポート上に示される人がエージェントの前に立っている人であることについて視覚的検証を実施する。乗客がパスポートの所有者であり、座席の支払いを行っていると確認された場合、乗客は旅行することが許可され、搭乗券が与えられる。搭乗券は、単に、乗客の名前およびフライトの詳細が印刷されたカードである。航空機に搭乗するために、個人は、搭乗券(搭乗券は、チケットカウンタでの認証からゲートまでの移動の間に巧妙な犯罪者によっていつでも盗まれ、または改ざんされる可能性がある)およびパスポートを再び提示しなければならない。同じタイプの視覚的検証が、実施される。
【0007】
米国に入国する旅行者は、入国カウンタでパスポートを提示しなければならない。個人の名前がコンピュータシステムに入力され、コンピュータシステムは、個人が最近到着したフライトで来たこと、および、個人の名前がFBI、INSなどの何らかの警戒リスト上にないことを検証する。入国局はまた、写真の人はパスポートを提示した人であることについて視覚的検証も実施する。個人がこうした2つのチェックを通過した場合、日付および入国港(空港)を小冊子に押印し、個人は、自由に米国に入国することができる。その人がパスポートが発行された国の国民であること、さらにはその人が実際に主張する当人であることは、視覚的検証以外には、検証されない。
【0008】
この高度に技術が進歩した時代には、紙は容易に偽造され、パスポートは、コンピュータを用いる巧妙な犯罪者にとってほとんど障害とはならない。パスポートの写真を変更することは、写真を覆うラミネート材料を除去し、新しい写真を挿入するという簡単なものである。
【0009】
改良型の個人確認を可能にする、提案される多くの解決策は、個人が、非常に個人的なデータを政府に堤出することを必要とし、その結果として、個人のプライバシーが損なわれる。このデータは、通常は、SSNであったが、近年では、個人を認証するのに生体計測的特徴が、一般的な方法となってきている。生体計測的特徴は、偽造がずっと困難であるからである。SSNベースのシステムと同様に、生体計測認証システムの多くの実装は、個人がその特徴を政府が管理する中央データベースに堤出することを必要とする。このことにより、「独裁者」、ID盗用、個人プライバシーの欠如、および潜在的ユーザの間での一般的不快について、いくつかのもっともな問題が提起される。加えて、証明書の検証を識別する提案される解決策は、しばしば、磁気ストライプカード、近接カード、PIN番号、およびスマートカードの使用を含む。こうした解決策はそれぞれ、セキュリティ上の欠点を有するが、それと同様に重大なことは、こうしたシステムはすべての個人にとってアクセス可能というわけではないことである。身体的障害を有する人は、磁気ストライプリーダに届かない可能性があり、または、PIN番号を入力することができない可能性がある。
【0010】
さらに、こうしたタイプの識別は、通常、複数の移動方法、特権種別/レベル、および状況を網羅するように拡張可能ではない。パスポートは、通常、国際航空機旅行にのみ使用され、一方運転免許証は、国内航空機旅行中に認証し、またはドライバ特権を実証するのに使用することができる。
【0011】
(関連技術の説明)
(飛行機旅行の関連技術)
いくつかの特許は、電子装置を使用して旅行を改善するシステムを説明している。そうした特許の1つである米国特許第6,101,477号において、Hohleは、旅行効率を改善するスマートカードシステム、装置、および方法を説明している。この発明の装置は、ユーザが航空便、ホテル、レンタカー、およびその他の支払い関連のアプリケーションをダウンロードするスマートカードである。これらのベンダも、ベンダ特有のアプリケーションをその装置にダウンロードすることができる。加えてこの装置は、ベンダがカスタム/セキュアファイル構造を作成することを可能にするセキュリティ機能を有する。しかし、PIN番号として働く2つの8ビットカードホルダ検証番号がセキュリティを実現する。PIN/パスワードセキュリティ方式は、それが損なわれる可能性があるために、安全ではない。Hohleは、無許可ユーザが装置にアクセスするのを完全に防止していない。さらに、Hohleは、パスポートなどの識別の形態として働くように装置を使用することを提案していない。さらに、Hohleは、プライバシー問題に対処していない。
【0012】
米国特許第6,119,096号において、Mannは、システムに対して個人を認証する生体計測技術を使用する航空便の発券、購入、チェックイン、および搭乗用システムを説明している。この特許の特許請求の範囲では、虹彩パターン認識方法だけを論じているが、明細書では、生体計測的特徴はDNA、指紋などを含む多数の異なるタイプのうちの1つでよいことを注記している。個人の生体計測テンプレートは、暗号化された形でアカウント情報と共に中央データベースに格納される。個人が航空機への搭乗などの取引を望むとき、個人は、ゲートにあるテンプレート捕捉ステーションを介して個人の現在の生体計測テンプレートを堤出する。次いでテンプレートは、暗号化され、データベースに格納された暗号化テンプレートと突き合わせて検証され、データベースは、認証または拒否を返す。Mannの発明は、個人のテンプレートが中央データベースに格納されるので、個人のテンプレートのプライバシーを保護していない。さらに、Mannは、複数の旅行アプリケーションおよび特権レベルへのアクセスなどの追加の動作柔軟性に適した装置設備を提供または予想していない。
【0013】
米国特許第6,135,688号において、Sweatteは、生体計測データおよびワイヤレススマートカードを使用する空港セキュリティのための方法およびシステムを説明している。チェックイン時に、旅行者は、指紋または網膜のスキャンによって本人確認を受け、運転免許証などの政府発行のIDカードを提示し、写真撮影を受けなければならない。この情報は、法執行データベースと突き合わせて検証され、肯定的な検証が返された場合、旅行者は、ワイヤレススマートカードの供給を受ける。旅行者は、旅行の期間に空港内および飛行機の搭乗中にこのスマートカードを持ち運ぶことを求められ、このスマートカードは、個人の旅行を追跡するのに使用される。しかし、スマートカードは、発行プロセス以外には何によっても個人に結びつけられない。したがって、個人のカードが失われ、盗まれ、廃棄され、または他の個人に違法に渡される可能性がある。Sweatteの特許は、プライバシー問題または複数の異なる旅行特権に対処していない。
【0014】
(運転免許証関連の技術)
米国特許第6,310,242号においてGehlotによって示されている車両およびその所有者用の認識システムは、モータ車両の電子サブシステムから収集されたリアルタイムデータを受け取り、処理し、格納する。この特許はまた、車両に対して個人を検証および許可し、すなわちオペレータを承認されたサブセットに制限するデータ収集方法も含む。このデータアセンブリは、ドライバから生体計測情報を収集し、ユーザ供給の「車両情報カード」から情報を読み取ることによって実施される。既知の証明書が、車両内に位置するメモリに格納され、中央データベースを必要としない。しかし、この特許で説明されているように、このシステムは、交通省および「DMV」(Division of
Motor Vehicles)に追加の情報をレポートするために、そうした機関へのワイヤレスリンクを有する。しかしGehlotは、どのようにこれらの証明書が最初に確認および検証されるかを詳述しておらず、したがって、車のメモリに登録された情報が正確であることを保証することができない。Gehlotの発明はまた、車両情報カード中の情報が発行後に改変されることを防止しない。
【0015】
Washingtonの米国特許5,519,260は、通常は、動作不能の点火システムを有する自動車で使用するための運転免許証駆動システムを開示しており、車両へのアクセスが単純化され、車両セキュリティが改善されると共に、許可されたドライバだけがWashingtonの発明を備える車両にアクセスすることを保証すると明言している。車両に対してドライバを認証するこの発明の運転免許証は、磁気ストライプなどの技術を使用して、それぞれのドライバの身元証明書で符号化される。この運転免許証が、車両内のリーダコンテナに挿入され、リーダコンテナは、運転免許証の提示者の想定される身元を表す識別信号を生成する。マイクロプロセッサは、運転免許証からの識別信号を、車両に対する許可ドライバを表す格納データと比較する。運転免許証識別信号が、メモリ内の格納データと合致するとき、マイクロプロセッサは、車両点火システムを動作可能にする出力信号を生成する。あるいは、運転免許証識別信号が、格納データと合致しないとき、無線送信機が、運転免許証識別信号を中央ステーションに送信し、中央ステーションは、この信号を、様々なドライバを表す格納データと比較する。合致が得られた場合、中央ステーションは、車両内の無線受信機に対して無線信号を生成し、その無線信号がマイクロプロセッサで読み取られ、次いでマイクロプロセッサは、点火システムを動作可能にする出力信号を生成する。あるいは、タイマが使用されて、オペレータに応じて規定の期間だけ車両の動作が可能にされる。
【0016】
別のバージョンでは、このシステムは、制限された運転免許証を有する人が装着するアンクルブレスレット上の送信機から無線信号を受信する無線受信機を含む。受信機がブレスレットからの無線信号を検出すると、マイクロプロセッサは、各ドライバによる車両の操作が許可されない期間を含む時間スケジュールと現在時刻を比較する。車両の操作が許可されていない場合、マイクロプロセッサは、車両の操作を使用不能にする使用不能信号を生成する。この特許は、運転免許証の提示者が「常に信頼できる」応用例に対して実用的に見える製品を開示するが、実際には、実際の免許証または許可されたドライバに偽って登録された偽造免許証を単に取得するだけで、このようなシステムを撹乱または覆すことは比較的容易である。この発明は、運転免許証開始応用例および運転免許証駆動応用例であるが、それ自体は運転免許証応用例ではない。さらに、中央側インターフェースを必要とする自動車内の運転免許証リーダの表面上の認証機能の一部は、パケット探知および盗聴にさらされる可能性もあり、運転免許証保持者の個人プライバシーが、かなり損なわれる。ある環境では、この製品は実際に、不注意な運転免許証ユーザをID盗用の危険にさらす可能性がある。
【0017】
Takigamiの米国特許第4,982,072は、運転免許証カードに格納された情報が読み出され、予め設定された運転免許証番号に関して合致または不一致が検出される「ICカード化された」運転免許証を開示している。この発明によれば、運転免許違反点数データがカード上に格納され、切符/違反データがカード上に格納され、エンジン始動に関する許可および禁止がカード上に格納される。運転免許証カード上に格納される情報はキーボードによって更新される。運転免許証カードコントローラが、DMV事務所または運転免許証を管理するその他の事務所に設置され、運転免許証の迅速な更新、期限延長、変更が可能となる、この発明の他のバージョンが提供される。このようなシステムには一定の利点があるが、巧妙な詐欺師によってシステムの妨害またはスプーフィングが容易に実施される可能性がある。運転免許証の提示者が実際に当人であることの保証はない。さらに、Takigamiの発明にはプライバシーへの適応がない。
【0018】
(トランスポンダ関連の技術)
米国特許第4,738,134号において、Weishauptが、車両に取り付けられた静止トランスポンダと、潜在的ドライバによって持ち運ばれるポータブルトランスポンダとを使用するモータ車両に対するセキュリティ設備を教示している。静止トランスポンダは、符号化信号をポータブルトランスポンダに送信する。符号化信号の受信時に、ポータブルトランスポンダは、符号化応答信号を送信する。静止トランスポンダが、予想する信号を受信した場合、静止トランスポンダは、ロック解除信号を作成し、車両のロック解除システムに送信する。このシステムは、潜在的ドライバがポータブルトランスポンダに対して自身を認証することを必要とせず、車両のドライバを識別することができない。
【0019】
米国特許第5,736,935号では、Lambropoulosが、やはりローカルトランシーバおよびリモートトランシーバを使用する類似のキーレス車両エントリ/エンジン始動システムを例示している。各リモートトランシーバが、固有セキュリティコードを格納し、ローカルトランシーバが、正当に車両へのエントリを得ることができるリモートトランシーバを表すセキュリティコードを格納する。リモートトランシーバがそのセキュリティコードを送信し、コードがローカルデータベースに格納されたコードと合致した場合、エンジンを始動することができる。こうした発明は、いずれも、中心位置への通信のための方法が組み込まれておらず、リモートトランシーバを特定の個人に関連付けることもしない。こうした特許は、新しい車両に設置された現在のキーレスエントリシステムに類似の装置を説明しているように見える。この手法には、いくつかのその他の特許が存在する。
【0020】
ホームセキュリティシステムと同様に、米国特許第5,874,889号に記載の、車両アラームを起動して中央監視端末に送信するHigdonのシステムおよび方法は、アラームシステムを分離するためにセキュリティコードおよびキーパッドを使用する。正しいセキュリティコード中のユーザタイプの場合、スタータブロッキングリレーが分離され、ユーザは車を始動することができる。しかし、ユーザが点火スイッチを「オン」の位置にする前にコードが入力されない場合、車両は、タイマを無音で開始し、タイマが満了する前にコードが入力されない場合、車両は、アラーム信号を中央ステーションにワイヤレスに無音で送信する。このシステムのセキュリティは、セキュリティコードを損なうことによって完全に無効にされる。さらに、このシステムは、監査目的でシステムが各ユーザを区別することを可能にしない。
【0021】
米国特許第5,519,260号において、Washingtonが、運転免許証が磁気ストライプなどのフォーマットで情報を用いて符号化される車両セキュリティシステムを例示している。カードが車内のリーダに挿入され、情報がカードから読み取られる。データが車内のローカルキャッシュに格納されたデータと合致する場合、車両点火システムが始動するように許可される。データがキャッシュ内に位置しない場合、車両は、ワイヤレストランスポンダを使用して、多数のユーザの情報を格納する中央ステーションと通信する。データが中央ステーション内に位置する場合、やはり車両点火システムが始動するよう許可される。この発明は、一部の応用例では有用であると思われるが、最初に検証され車両を始動することを許可された人が実際に車両を引き続き操作している人であることを確認するための継続的なチェックが提供されない。さらに、ドライバプライバシーが提供されず、またはそれに対する配慮がない。
【0022】
Takashimaの米国特許第6,352,045号は、トランスポンダセキュリティコードと、間に直接的電気接続なしにトランスポンダからセキュリティコードを受け取るように構成された通信装置と、通信装置によって受信されたセキュリティコードが所定の許可セキュリティコードと合致しない場合、エンジンの操作を防止するエンジン制御手
段とを備える船舶エンジン向けイモビライゼーションシステムを教示している。この発明では、プライバシー機能の言及または提供がない。
【0023】
米国特許第6,323,761号において、Sonが、光学認識を使用して車両のロック解除を許可された人を識別する車両セキュリティアクセスシステムを説明している。虹彩像パターンが車両内のデータベース内に登録および格納される。個人が、ドアまたはトランクをロック解除したいとき、ドアのハンドルを握る。これにより、室内灯が点灯し、カメラが個人に向けられる。このカメラは、個人の虹彩像を捕捉し、それを格納されたデータベースと比較する。虹彩像がデータベース内の虹彩像と合致する場合、ドアはロック解除される。そうでない場合、アラームが鳴る。このシステムはまた、カメラまたはコンピュータシステムが故障した場合のキーパッド/セキュリティコードの組合せも有する。このシステムは、生体計測的特徴を使用して個人を識別するので、上述のシステムよりもずっと安全かつ精密である。しかし、このシステムは、ワイヤレストランスポンダを使用して、車内にローカルに格納されたデータベース以外のデータベースにアクセスする方法を何ら説明していない。加えて、例示されるシステムは、かなりの補助装置を車両内に配置する必要があり、さらに、セルフポジショニング虹彩読取りカメラの視線にドライバ自身がまっすぐ向く必要がある。
【0024】
米国特許第6,400,042号において、Winnerが、車両内の車両制御ユニット(VCU)と通信する個人識別ユニット(PIU)をオペレータが持ち運ぶ盗難防止システムを説明している。VCUは、2つのモードを有する。一方のモードは、車両の操作を可能にし、第2のモードは、車両の操作を禁止する。PIUがVCUの範囲内に来たとき、この2つが情報およびデータを交換し、個人が許可オペレータであるかどうかを判定する。許可オペレータである場合、VCUは、モードを切り換えて車両の操作を可能にする。PIUが車両制御ユニットの範囲を離れたとき、VCUは、再びモードを切り換えて、車両の操作を禁止する。このシステムは、柔軟ではなく、生体計測技術を組み込んでもいない。
【0025】
(生体計測個人識別装置関連の技術)
Russelが、米国特許第5,481,265号、5,729,220号、6,201,484号、および6,441,770号において、「セキュアアクセストランシーバ」を説明している。この発明は、ボタン指向ユーザインターフェースを備えるワイヤレス技術を組み込むハンドヘルド電子装置を例示している。この装置が使用され、受信側装置またはシステムに対する個人と装置の識別が、共に実現される。
【0026】
Russell、Johnson、Petka、およびSingerが、米国特許出願第10/148,512号において、生体計測個人識別装置(BPID)を説明している。BPIDは、多因子認証を実現するハンドヘルド電子装置であり、その登録されたオペレータが、金融口座、医療記録、パスワード、個人識別番号、その他の機密データおよび情報などの格納された情報の公開および配布を制御することを可能にする。この装置は、クレジットカードサイズからキーフォブ(key fob)までの範囲に渡る形状因子を有する改ざん防止パッケージングを有する。様々な実施形態はまた、ユーザ対話用の生体計測スキャナ、液晶ディスプレイ(LCD)、およびボタン、ならびに他の電子装置との通信用ワイヤレスインターフェースも含む。この装置は、許可される生体計測的特徴のオペレータによって公開されるのでない限り、指紋を物理的または電子的に装置から除去または送信することができないように、かつ情報を装置から物理的または電子的に除去または送信することができないように開発されている。すべてのデータおよび処理は、セキュアに実施される。BPIDは、主に販売時点取引またはその他の金融取引向けであるが、様々なデータおよびアプリケーションを格納することができる。しかし、BPIDは、旅行の識別またはその他の旅行関連の機能のための方法を説明していない。
【発明の開示】
【課題を解決するための手段】
【0027】
本明細書で開示される発明は、様々な目的地へ、および様々な目的地から様々な時刻に旅行する個人を認証する完全なシステムを提供する。本発明は、個人識別装置を使用して、航空機、船舶、バス、車、および列車を含むいくつかの移動方法に対して、個人身元証明書の検証を調整する。個人の割り当てられた特権が、中央制御データベースと組み合わされる。旅行特権は、現在位置を出発する能力、所望の場所に旅行する能力、特定の時刻に旅行する能力、特定の移動方法を使用する能力であるとみなされる。こうした特権が、個人の申請時に評価され、管理機関の判断で周期的に更新される。
【0028】
本発明はまた、旅行特権のサブセットとして車両オペレータ特権の検証も含み、個人が様々な移動方法、目的地、および時間についての車両オペレータ特権を受けることを可能にする。本発明は、車両が通行中に車両オペレータ特権を与える方法を開示し、さらに、車両内に個人識別装置をドッキングする装置を提供する。
【発明を実施するための最良の形態】
【0029】
(旅行システム)
本明細書に記載の旅行識別システムは、個人識別装置を利用する。個人識別装置は、その許可所有者の識別および旅行特権の格納のための手段を提供する任意のハンドヘルド(handheld)装置である。これは、生体計測的に動作可能にされるハンドヘルドコンピュータまたはPDAからスマートカードにまで及ぶ。本発明の好ましい実施形態では、個人識別装置が米国特許出願第10/148,512号で説明されており、それを説明のために以下で使用する。BPIDは、通常、装置管理機関によって個人に対して発行され、また装置は、複数のアプリケーションを実行および格納することができるので、個人は、旅行許可を要求する前に既に装置を受け取っている可能性がある。旅行許可は、旅行管理機関によって監視される。旅行管理機関は、政府の一部または独立機関でよい。旅行管理機関は、様々な情報源を用いて申請者の証明書を検証し、個人の適切な旅行特権を判定し、旅行特権を個人のBPIDにダウンロードする任を担う。旅行管理機関はさらに、個人および関連する生体計測情報を装置に登録し、非対称鍵ペアを含むデジタル証明書を個人に発行する任を担う。旅行管理機関は、個人の識別についての旅行管理機関の公式な検証としてこのデジタル証明書を使用することを選ぶことができ、または、旅行管理機関自体の証明書を使用することを希望することができる。旅行管理機関はさらに、公開鍵、旅行許可、および各個人の名前をデータベースに保持する任を担う。このデータベースは、旅行管理機関の判断で、個人の許可の変更を反映するように更新される。旅行許可のタイプは、以下でさらに詳細に論じる。
【0030】
(旅行特権の取得)
(個人識別の検証)
図1に示されるように、個人は、旅行関連の特権を受ける前に旅行管理機関にいくつかの個人情報を堤出しなければならない。このデータは、例えば名前、誕生日、SSN、出生証明書またはLetter of No Recordなどの「標準情報」を含む。この情報はまた、申請者の顔写真、申請者の署名のデジタル表現、および指紋、あるいはその他の生体計測的特徴を含む。旅行管理機関は、この情報を5つの別個のデータベースに発信して個人の経歴を確認する。
【0031】
第1のデータベースは、連邦刑事裁判所132であり、エージェントが犯罪歴チェックを開始および完了することを可能にする。エージェントは、個人の犯罪記録を閲覧して、個人を証明書の候補者と評価することができる。例えば、フライトの妨害またはその他の妨害的振舞いでしばしば逮捕されている個人が航空機フライト特権を得ることを防ぐこと
ができる。あるいは、その個人のBPID100が個人の履歴を略述する特別な表示を受信することもできる。
【0032】
第2のデータベースは、公衆衛生局情報システム協会(NAPHSIS)によって計画された出生証明書データベース133であり、米国発行の出生証明書すべての電子ファイルを提供する。これにより、提示された出生証明書をエージェントが検証することが可能となる。エージェントはまた、提示されたSSNの妥当性を検証することを可能にするSSNデータベース134にもアクセスすることができる。
【0033】
次いでエージェントは、エージェントが個人の国内身分を検証することを可能にする移民帰化局(INS)データベース135にアクセスする。第5のデータベース136が旅行管理機関によって確立され、第5のデータベース136は、検証プロセス中にエージェントによって取り込まれたデジタル写真を格納する。このデータベースは、エージェントがこの新しい写真を既存の旅行特権保持者と比較することを可能にし、潜在的に異なる名前で複数の証明書を得ることを防ぐように意図される。
【0034】
(特権の割当て)
個人の証明書を検証する際、旅行管理機関は、割り当てる特権のレベルを決定する。旅行管理機関は、個人に関する証明書を作成し、関連する非対称鍵ペアを個人に割り当てる。この証明書は、旅行管理機関によって署名され、正当な証明書として受諾することができる。旅行管理機関は、検証した個人の名前およびそれに関連する公開鍵のデータベース137を維持する。上述のように、この証明書を前述のデジタル登録証明書として適用してBPID100にダウンロードすることができ、または旅行管理アプリケーションのための独自の証明書として使用することもできる。
【0035】
このデータベースは、割り当てた特権レベルも格納することができる。サンプルデータベースを図4に示す。好ましい実施形態に対して割り当てられる、目的地、日付/時刻、移動方法、および有効期限という4つの特定の特権が存在する。第1の特権である宛先は、個人がどこに旅行することができるかを確立する。第2の特権である日付/時刻は、個人がいつ旅行することができるかを確立する。例えば、軽犯罪で有罪となった個人は、禁固刑の終了後の時間に制限された日付範囲を有することができる。第3の特権である移動方法は、個人が旅行にどんなタイプの乗り物を使用することができるかを確立する。このフィールドは、個人が載ることのできる移動方法を指定することが意図され、車、バス、列車、航空機、および船を含むことができる。第4の特権は、有効期限であり、単に、証明書がもはや受諾されず、旅行管理機関によって再検証しなければならないときを表す。
【0036】
このデータベース137は、旅行管理機関が必要とみなしたときに、名前および写真136のデータベースとマージすることができる。加えて、データベース137は、旅行管理機関の要求に応じて格納された生体計測情報を組み込むことができる。しかし、この結果として本発明のプライバシー問題の一部が損なわれる可能性がある。
【0037】
(旅行アプリケーションの割当ておよび使用)
旅行管理機関は、識別の検証後に、関連するソフトウェアを個人のBPID100上にダウンロードする任を担う。以下で旅行アプリケーションと呼ぶものを図5に示す。旅行アプリケーションは、3つの異なる機能および2つの別個の変数を含む。
【0038】
個人は、通常、旅行アプリケーションを使用して旅行関連の行動を起こすことを望み、特権を機関に要求する。この機関は、旅行管理機関、売り手、またはその他の何らかの関係者でよい。旅行関係の行動は、通常、旅行のチケット/予約、搭乗券、入国港特権、または車両オペレータ特権の要求である。機関は、個人が認証を提供することを要求する。
BPID100に対する個人の認証と、対応する秘密鍵の所有権が保証された後、機関は、旅行管理機関のデータベース137に照会し、個人が要求を満たすための正しい特権を有することを検証する。機関はまた、この時点で機関特有の検証を実施することを望むこともできる。すべての検証を完了して機関が確信したとき、機関は、許可を組み込む旅行特権証明書を作成する。
【0039】
旅行特権証明書の各構成要素を図6に示す。旅行特権証明書の各構成要素は、通常、旅行の日付および時刻376、移動方法377、特権タイプ375、発行日372、および有効期限373、シリアル番号374、目的地378、およびその他の関連項目379からなる。例えば、航空便チケット購入要求を受けたときに、航空会社または売り手は、要求された日付および時刻に個人が航空機旅行特権を有することを検証する。そうである場合、売り手は、移動方法377を「航空機」に設定し、特権のタイプ375を「チケット」に設定し、日付および時刻376を個人の要求に通りにした旅行特権証明書を作成する。有効期限373は、単に証明書がもはや有効でなくなる日付を設定し、シリアル番号374は、証明書を一意に識別することを可能にする。加えて旅行特権証明書は、後の検証のために旅行管理機関または発行機関によって署名される。好ましくは、旅行アプリケーション247の第1機能は、BPID100がこうした旅行特権証明書を受信することを可能にし、それをアプリケーションにそれを格納させることを可能にする。
【0040】
好ましくは、旅行アプリケーション248の第2機能は、個人が、格納された旅行特権証明書を他の装置および個人に提示することを可能にする。個人は、すべての旅行特権証明書を1つのバッチで提示することができ、あるいは特定の日付/時刻範囲、移動方法、特権のタイプ、または有効期限を有するすべての証明書を求めて個人の装置を探索することができる。あるいは、個人は、証明書のシリアル番号を探索することもできる。この機能は、旅行特権証明書を送る前にユーザ認証を要求するように構成することができる。例えば、個人が5分前以内に認証機能を実行した場合にのみ、旅行特権証明書を送ることができる。このことは、旅行管理機関の判断で確立することができる。
【0041】
好ましくは、旅行アプリケーション249の第3の機能は、登録された個人がアプリケーション監査ログを提示することを可能にする。旅行特権証明書受領などのイベントがアプリケーションで発生したとき、アプリケーションは、イベントならびに日付および時刻などの関連するデータを、記憶域の監査ログ区間243内に記録する。こうしたレコードは、装置管理機関、旅行管理機関、または個人の望みに従って他の装置に周期的にダウンロードすることができる。
【0042】
(旅行アプリケーションを用いた認証)
図5に示すように、ヨーロッパまで飛行する旅行特権を所有する個人が、前述の方法でロンドンまで飛行するチケットを購入することを要求している(501)。チケットの売り手は、旅行管理機関のデータベース137に照会し(502)、飛行することを許可し、要求した日付にロンドンに旅行することを許可する特権を個人が有することを検証する(503)。この旅行は許容されるが、チケットの売り手は旅行特権証明書チケットを個人に発行する(504)ことに留意されたい。次に個人は、旅行アプリケーションの第1機能を使用して、旅行特権証明書チケットをBPID100にダウンロードする。
【0043】
要求した旅行日に、個人は空港に移動し、空港で個人は、空港で確立された規則に従ってチェックインで旅行アプリケーションの第2機能を使用して旅行特権証明書チケットを提示する(505)。旅行特権証明書チケットが有効であると航空会社が判定した場合(506)、個人は、旅行特権証明書搭乗券を受け取る(507)。個人が航空機ゲートに行ったとき、個人は、旅行アプリケーションの第2機能を使用して旅行特権証明書搭乗券を提示する(508)。BPIDから証明書を受信および処理する手段を備える回転式改
札口またはその他の改札口が、旅行特権証明書搭乗券を受け取り、それを検証する(509)。証明書が、内蔵されており、そのデジタル署名のために信用されるので、次に改札口は、個人がゲートにアクセスすることを許可することができ(510)、特権をデータベース137と突き合わせて再検証することなく、個人が航空機に搭乗することを許可することができる。次に旅行アプリケーションは、終了する(511)。証明書が正しく確認されない場合、または個人が要求した行動を実施するための適切な特権レベルを所有しない場合、アプリケーションは、やはり終了する(511)ことに留意されたい。
【0044】
このオペレーションは自動で、個人からの認証を要求しないことができ、または認証を要求することもできる。こうした規則は、必要に応じて旅行管理機関またはその他の機関の判断で確立することができる。明らかに、生体計測認証を使用することにより、システムでのセキュリティのレベルが向上する。
【0045】
(車両オペレータ特権)
旅行特権の注目すべきサブセットは、個人が車両を操作することを可能にする。旅行する事前の許可を持たない個人は、車両を操作すべきでなく、操作することができない。旅行は車両操作の固有の部分であるからである。例えば、メキシコに旅行する特権を有する個人は、メキシコシティへのルートまたはメキシコシティからのルートで商業トラックドライバとして雇用されることを望むことがある。次いで個人は、DMVまたはドライバ特権を判断するその他の機関からドライバ能力の公式証明書を受け取るまで、トラックドライバとして訓練を受ける。ドライバ能力の公式証明書は、タイプフィールドが「オペレータ」に設定された旅行特権証明書に変換され、前述の方法を用いてBPID100にダウンロードされる。
【0046】
車両オペレータ特権をBPID100に組み込むことの大きな利点は、限られた追加の装置で、車両操作中のすべての時間に車両および/または監視する機関に対してオペレータを認証することができることである。上記の例に追従して、個人は、危険な材料を搬送するトラックを運転することの許可を受けることができる。最近の国内テロリズムについての懸念に伴って、トラック運送会社は、トラックが強奪されていないことを検証するために、ドライバが運転中にドライバの身元を保証することを望んでいる。
【0047】
トラック運送会社は、複数の選択肢を有する。第1の選択肢は、長距離トランスポンダを車両に追加することである。多くのトラックがそのような無線を既に備えている。トランスポンダは、BPID100にインターフェースするように適合することができ、それによってBPID100はデータをトランスポンダに送信することができる(双方向通信は任意選択である)。旅行アプリケーションを有するBPID100は、車両オペレータの旅行特権証明書をトランスポンダに送信することができ、次いでトランスポンダは、証明書をトラック運送会社、旅行管理機関、またはその他の適切な関係者に送信することができる。旅行特権証明書送信機能は、ユーザ認証を要求するように構成することができるので、証明書の受信側は、正当な装置所有者が指紋を用いて送信を許可したことの保証を受けることができる。
【0048】
あるいは、トラック運送会社は、インテリジェントキルスイッチ(kill switch)をトラックに追加することもできる。このキルスイッチも、BPID100から旅行特権証明書を受信するように構成される。無効な証明書を受信した、または証明書を全く受信しなかったとキルスイッチが判定した場合、キルスイッチは、トラックの操作を安全に使用不能にすることができる。本発明の1つの最適な実施形態は、キルスイッチ機構をトランスポンダに組み込む。これにより、トラック運送会社、旅行管理機関などがドライバの特権を監視し、信号を送信して車両の操作を終了することが可能となる。
【0049】
前述のように、この監視システムを使用可能にする1つの重要な部分は、車両が動作中に旅行特権証明書の送信を要求することである。トラック運送会社、旅行管理機関、またはその他の適切な関係者は、個人がいつ証明書を送信しなければならないかを述べる規則を確立することができる。例えば、30分ごとなどの規則的な時間間隔で証明書を送信するようにドライバに要求することができる。あるいは、よりセキュリティを高めるために、ランダムな時間間隔で認証するようにドライバに促すこともできる。このシステムはまた、規則的またはランダムな走行距離間隔でユーザを認証するように同様に構成することもできる。
【0050】
この車両オペレータ監視システムをより良好に使用可能にするために、本発明は、車両が動作中にBPID100などの個人識別装置を安全に保持するドッキング装置を作成する。この装置を図6に示す。このドッキング装置は、ユーザが車両操作中に注意散慢を最小限に抑えて安全かつ容易に認証することを可能にする向きにBPID100を配置するように確立される。この装置は、データジャックコネクタ601、パワージャックコネクタ602、およびBPID100を保持するクレードル(cradle)603を備える。データジャック601は、BPID100から車両、トランスポンダ、またはその他の装置にデータを中継するのに使用することができる。パワージャックコネクタ602は、BPID100の電源に優先して、装置が電池電力を流出することを可能にする。クレードル603は、前述のように装置を保持し、ギヤシフトレバー、ステアリング装置、トランスポンダ、手ブレーキなどの様々な位置に配置することができる。
【0051】
上記の説明では、本発明の特定の実施形態を参照したが、本発明の精神から逸脱することなく、多数の修正を行えることを理解されよう。添付の特許請求の範囲は、本発明の真の範囲および精神内に含まれる修正形態を包含するものとする。
【図面の簡単な説明】
【0052】
【図1】個人が旅行アプリケーションを受信する許可を受ける前の証明書検証プロセスを示す図である。
【図2】個人名、公開鍵、および関連する旅行特権のサンプルデータベースを示す図である。
【図3】旅行アプリケーションのアーキテクチャを示す図である。
【図4】旅行特権証明書の構成要素を示す図である。
【図5】従来の航空便アプリケーションを使用して旅行特権証明書を受信および使用するプロセスを示す図である。
【図6】ドッキング装置を示す図である。マスタ参照数値リスト
【符号の説明】
【0053】
100 個人識別装置
132 連邦刑事裁判所のデータベース
133 NAPHSISデータベース
134 SSNデータベース
135 INSデータベース
136 他のデータベース
137 名前、公開鍵、および特権データベース
342 旅行特権証明書記憶空間
343 監査ログ記憶空間
347 旅行特権証明書受信機能
348 旅行特権証明書送信機能
349 監査ログ送信機能
471 旅行者の名前
472 証明書発行日
473 証明書有効期限
474 証明書シリアル番号
475 特権タイプ
476 特権日付および時刻
477 移動方法
478 目的地
479 その他
501 チケットを要求する
502 特権について旅行管理者のデータベースに照会する
503 個人が適切な特権を所有しているか?
504 旅行特権証明書チケットを発行する
505 旅行特権証明書チケットを提示する
506 チケットは有効か?
507 旅行特権証明書搭乗券を発行する
508 旅行特権証明書搭乗券を提示する
509 搭乗券は有効か?
510 ゲートへのアクセスを許可する
511 終了
601 データジャックコネクタ
602 パワージャックコネクタ
603 クレードル
【技術分野】
【0001】
本発明は、一般には、情報セキュリティの分野に関し、より詳細には、様々な移動方法を使用して移動することを望む個人の認証および検証に関する。
【背景技術】
【0002】
(関連する米国出願データ)
本願は、USC119(e)の下で、2002年7月12日出願の「Driver and Vehicle Authentication and Auditiong Apparatus, Method and System for Interfacing with a Vehicle Transponder」という名称の仮特許出願第60/395,361号と、____年__月__日出願の「...」という名称の仮特許出願第60/474,750号の優先権を主張するものである。これらすべては参照によりその実体が本明細書に組み込まれる。
【0003】
(発明の必要性)
旅行特権は、受け入れられる証明書を個人が提示する能力に対して付与される。こうした証明書は、通常、パスポートおよび運転免許証を含み、しばしば、写真が添えられた個人の身分証明書の観察、ならびに、その写真とカード所有者と主張する人の顔との比較に基づく。例えば、通常、その人の名前、国籍、誕生日、誕生地、および写真を含む州発行の運転免許証または政府発行のパスポートが、自称アメリカ人の乗客を特定する。こうした紙ベースの身分証明書は、旅行の安全を危険にさらす可能性のある重大な欠点を有する。他の国籍の旅行者は、運転免許証を使用しないことがあるため、また運転免許証の取得は、パスポートよりも容易であり、制約が少ないため、この議論では、主にパスポートの欠点に焦点を置く。
【0004】
国または地域の法律に応じて変化するが、パスポートは、通常、チェックインおよび/または搭乗券の申込み時、ゲートチェックポイントで、および、入国時に提示される。パスポートは、装丁された紙の小冊子を含み、発行国に応じて色およびサイズが異なる。すべてのパスポートは、一方の表紙裏にパスポートの所有者の名前、国籍、誕生日、および写真(顔写真のみ)を含む。パスポートの各ページには、入国および出国時に入国ビザおよび出国ビザが押印されるが、やはりこれも地域の法律に応じて異なる。例えば、欧州共同体(EC)の各国の国民は、ECの国に入国する際に、その国の国民でない場合であっても、常にパスポートの提示を求められるわけではなく、したがって、その人のパスポートはEC内の旅行を反映しないことになる。米国は、それより幾分厳格であり、航空機経由で入国するすべての人が、パスポートの提示を求められる。
【0005】
アメリカ国民としてパスポートを取得することは、旅券発給局を訪れて証明書を堤出するという単純なものであり、その証明書は、容易に偽造される可能性がある。旅券発給局は、認証のために以前に発行されたパスポートまたは出生証明書を要求するが、こうした文書が入手不能である場合、申請者は、名前、誕生日、出生記録を求めて検索した年、および申請者に関して記録上に出生証明書が存在しないという記録を有する、申請者の居住する州が発行したLetter of No Record、ならびに、ファミリバイブルレコード、洗礼証明書、医師の出生後診断記録、国勢調査記録、病院の出生証明書、または初等学校記録のいずれかを堤出しなければならない。これらのいずれも入手不能である場合、申請者は、おばやおじなどの肉親が申請者の誕生日を保証する出生宣誓供述書を堤出することができる。この形式上のシステムが、偽の証明書でパスポートを申請し、首尾よくパスポートを取得することを可能としている。さらに、パスポートの単純な性質は
、印刷および偽造の技能のある者が偽のパスポートを作成することを容易にしている。
【0006】
米国を出発する旅行者の場合、パスポートは、乗客が航空機に搭乗する前にチェックインで個人認証のために慣習的に提示される。個人は、座席を購入した航空会社のチケットカウンタに行き、チケットおよびパスポートを航空会社のエージェントに提示する。航空会社のエージェントは、その人の大まかな経歴チェックを実施するコンピュータシステムに、パスポートの情報を入力する。航空会社のエージェントはまた、パスポート上に示される人がエージェントの前に立っている人であることについて視覚的検証を実施する。乗客がパスポートの所有者であり、座席の支払いを行っていると確認された場合、乗客は旅行することが許可され、搭乗券が与えられる。搭乗券は、単に、乗客の名前およびフライトの詳細が印刷されたカードである。航空機に搭乗するために、個人は、搭乗券(搭乗券は、チケットカウンタでの認証からゲートまでの移動の間に巧妙な犯罪者によっていつでも盗まれ、または改ざんされる可能性がある)およびパスポートを再び提示しなければならない。同じタイプの視覚的検証が、実施される。
【0007】
米国に入国する旅行者は、入国カウンタでパスポートを提示しなければならない。個人の名前がコンピュータシステムに入力され、コンピュータシステムは、個人が最近到着したフライトで来たこと、および、個人の名前がFBI、INSなどの何らかの警戒リスト上にないことを検証する。入国局はまた、写真の人はパスポートを提示した人であることについて視覚的検証も実施する。個人がこうした2つのチェックを通過した場合、日付および入国港(空港)を小冊子に押印し、個人は、自由に米国に入国することができる。その人がパスポートが発行された国の国民であること、さらにはその人が実際に主張する当人であることは、視覚的検証以外には、検証されない。
【0008】
この高度に技術が進歩した時代には、紙は容易に偽造され、パスポートは、コンピュータを用いる巧妙な犯罪者にとってほとんど障害とはならない。パスポートの写真を変更することは、写真を覆うラミネート材料を除去し、新しい写真を挿入するという簡単なものである。
【0009】
改良型の個人確認を可能にする、提案される多くの解決策は、個人が、非常に個人的なデータを政府に堤出することを必要とし、その結果として、個人のプライバシーが損なわれる。このデータは、通常は、SSNであったが、近年では、個人を認証するのに生体計測的特徴が、一般的な方法となってきている。生体計測的特徴は、偽造がずっと困難であるからである。SSNベースのシステムと同様に、生体計測認証システムの多くの実装は、個人がその特徴を政府が管理する中央データベースに堤出することを必要とする。このことにより、「独裁者」、ID盗用、個人プライバシーの欠如、および潜在的ユーザの間での一般的不快について、いくつかのもっともな問題が提起される。加えて、証明書の検証を識別する提案される解決策は、しばしば、磁気ストライプカード、近接カード、PIN番号、およびスマートカードの使用を含む。こうした解決策はそれぞれ、セキュリティ上の欠点を有するが、それと同様に重大なことは、こうしたシステムはすべての個人にとってアクセス可能というわけではないことである。身体的障害を有する人は、磁気ストライプリーダに届かない可能性があり、または、PIN番号を入力することができない可能性がある。
【0010】
さらに、こうしたタイプの識別は、通常、複数の移動方法、特権種別/レベル、および状況を網羅するように拡張可能ではない。パスポートは、通常、国際航空機旅行にのみ使用され、一方運転免許証は、国内航空機旅行中に認証し、またはドライバ特権を実証するのに使用することができる。
【0011】
(関連技術の説明)
(飛行機旅行の関連技術)
いくつかの特許は、電子装置を使用して旅行を改善するシステムを説明している。そうした特許の1つである米国特許第6,101,477号において、Hohleは、旅行効率を改善するスマートカードシステム、装置、および方法を説明している。この発明の装置は、ユーザが航空便、ホテル、レンタカー、およびその他の支払い関連のアプリケーションをダウンロードするスマートカードである。これらのベンダも、ベンダ特有のアプリケーションをその装置にダウンロードすることができる。加えてこの装置は、ベンダがカスタム/セキュアファイル構造を作成することを可能にするセキュリティ機能を有する。しかし、PIN番号として働く2つの8ビットカードホルダ検証番号がセキュリティを実現する。PIN/パスワードセキュリティ方式は、それが損なわれる可能性があるために、安全ではない。Hohleは、無許可ユーザが装置にアクセスするのを完全に防止していない。さらに、Hohleは、パスポートなどの識別の形態として働くように装置を使用することを提案していない。さらに、Hohleは、プライバシー問題に対処していない。
【0012】
米国特許第6,119,096号において、Mannは、システムに対して個人を認証する生体計測技術を使用する航空便の発券、購入、チェックイン、および搭乗用システムを説明している。この特許の特許請求の範囲では、虹彩パターン認識方法だけを論じているが、明細書では、生体計測的特徴はDNA、指紋などを含む多数の異なるタイプのうちの1つでよいことを注記している。個人の生体計測テンプレートは、暗号化された形でアカウント情報と共に中央データベースに格納される。個人が航空機への搭乗などの取引を望むとき、個人は、ゲートにあるテンプレート捕捉ステーションを介して個人の現在の生体計測テンプレートを堤出する。次いでテンプレートは、暗号化され、データベースに格納された暗号化テンプレートと突き合わせて検証され、データベースは、認証または拒否を返す。Mannの発明は、個人のテンプレートが中央データベースに格納されるので、個人のテンプレートのプライバシーを保護していない。さらに、Mannは、複数の旅行アプリケーションおよび特権レベルへのアクセスなどの追加の動作柔軟性に適した装置設備を提供または予想していない。
【0013】
米国特許第6,135,688号において、Sweatteは、生体計測データおよびワイヤレススマートカードを使用する空港セキュリティのための方法およびシステムを説明している。チェックイン時に、旅行者は、指紋または網膜のスキャンによって本人確認を受け、運転免許証などの政府発行のIDカードを提示し、写真撮影を受けなければならない。この情報は、法執行データベースと突き合わせて検証され、肯定的な検証が返された場合、旅行者は、ワイヤレススマートカードの供給を受ける。旅行者は、旅行の期間に空港内および飛行機の搭乗中にこのスマートカードを持ち運ぶことを求められ、このスマートカードは、個人の旅行を追跡するのに使用される。しかし、スマートカードは、発行プロセス以外には何によっても個人に結びつけられない。したがって、個人のカードが失われ、盗まれ、廃棄され、または他の個人に違法に渡される可能性がある。Sweatteの特許は、プライバシー問題または複数の異なる旅行特権に対処していない。
【0014】
(運転免許証関連の技術)
米国特許第6,310,242号においてGehlotによって示されている車両およびその所有者用の認識システムは、モータ車両の電子サブシステムから収集されたリアルタイムデータを受け取り、処理し、格納する。この特許はまた、車両に対して個人を検証および許可し、すなわちオペレータを承認されたサブセットに制限するデータ収集方法も含む。このデータアセンブリは、ドライバから生体計測情報を収集し、ユーザ供給の「車両情報カード」から情報を読み取ることによって実施される。既知の証明書が、車両内に位置するメモリに格納され、中央データベースを必要としない。しかし、この特許で説明されているように、このシステムは、交通省および「DMV」(Division of
Motor Vehicles)に追加の情報をレポートするために、そうした機関へのワイヤレスリンクを有する。しかしGehlotは、どのようにこれらの証明書が最初に確認および検証されるかを詳述しておらず、したがって、車のメモリに登録された情報が正確であることを保証することができない。Gehlotの発明はまた、車両情報カード中の情報が発行後に改変されることを防止しない。
【0015】
Washingtonの米国特許5,519,260は、通常は、動作不能の点火システムを有する自動車で使用するための運転免許証駆動システムを開示しており、車両へのアクセスが単純化され、車両セキュリティが改善されると共に、許可されたドライバだけがWashingtonの発明を備える車両にアクセスすることを保証すると明言している。車両に対してドライバを認証するこの発明の運転免許証は、磁気ストライプなどの技術を使用して、それぞれのドライバの身元証明書で符号化される。この運転免許証が、車両内のリーダコンテナに挿入され、リーダコンテナは、運転免許証の提示者の想定される身元を表す識別信号を生成する。マイクロプロセッサは、運転免許証からの識別信号を、車両に対する許可ドライバを表す格納データと比較する。運転免許証識別信号が、メモリ内の格納データと合致するとき、マイクロプロセッサは、車両点火システムを動作可能にする出力信号を生成する。あるいは、運転免許証識別信号が、格納データと合致しないとき、無線送信機が、運転免許証識別信号を中央ステーションに送信し、中央ステーションは、この信号を、様々なドライバを表す格納データと比較する。合致が得られた場合、中央ステーションは、車両内の無線受信機に対して無線信号を生成し、その無線信号がマイクロプロセッサで読み取られ、次いでマイクロプロセッサは、点火システムを動作可能にする出力信号を生成する。あるいは、タイマが使用されて、オペレータに応じて規定の期間だけ車両の動作が可能にされる。
【0016】
別のバージョンでは、このシステムは、制限された運転免許証を有する人が装着するアンクルブレスレット上の送信機から無線信号を受信する無線受信機を含む。受信機がブレスレットからの無線信号を検出すると、マイクロプロセッサは、各ドライバによる車両の操作が許可されない期間を含む時間スケジュールと現在時刻を比較する。車両の操作が許可されていない場合、マイクロプロセッサは、車両の操作を使用不能にする使用不能信号を生成する。この特許は、運転免許証の提示者が「常に信頼できる」応用例に対して実用的に見える製品を開示するが、実際には、実際の免許証または許可されたドライバに偽って登録された偽造免許証を単に取得するだけで、このようなシステムを撹乱または覆すことは比較的容易である。この発明は、運転免許証開始応用例および運転免許証駆動応用例であるが、それ自体は運転免許証応用例ではない。さらに、中央側インターフェースを必要とする自動車内の運転免許証リーダの表面上の認証機能の一部は、パケット探知および盗聴にさらされる可能性もあり、運転免許証保持者の個人プライバシーが、かなり損なわれる。ある環境では、この製品は実際に、不注意な運転免許証ユーザをID盗用の危険にさらす可能性がある。
【0017】
Takigamiの米国特許第4,982,072は、運転免許証カードに格納された情報が読み出され、予め設定された運転免許証番号に関して合致または不一致が検出される「ICカード化された」運転免許証を開示している。この発明によれば、運転免許違反点数データがカード上に格納され、切符/違反データがカード上に格納され、エンジン始動に関する許可および禁止がカード上に格納される。運転免許証カード上に格納される情報はキーボードによって更新される。運転免許証カードコントローラが、DMV事務所または運転免許証を管理するその他の事務所に設置され、運転免許証の迅速な更新、期限延長、変更が可能となる、この発明の他のバージョンが提供される。このようなシステムには一定の利点があるが、巧妙な詐欺師によってシステムの妨害またはスプーフィングが容易に実施される可能性がある。運転免許証の提示者が実際に当人であることの保証はない。さらに、Takigamiの発明にはプライバシーへの適応がない。
【0018】
(トランスポンダ関連の技術)
米国特許第4,738,134号において、Weishauptが、車両に取り付けられた静止トランスポンダと、潜在的ドライバによって持ち運ばれるポータブルトランスポンダとを使用するモータ車両に対するセキュリティ設備を教示している。静止トランスポンダは、符号化信号をポータブルトランスポンダに送信する。符号化信号の受信時に、ポータブルトランスポンダは、符号化応答信号を送信する。静止トランスポンダが、予想する信号を受信した場合、静止トランスポンダは、ロック解除信号を作成し、車両のロック解除システムに送信する。このシステムは、潜在的ドライバがポータブルトランスポンダに対して自身を認証することを必要とせず、車両のドライバを識別することができない。
【0019】
米国特許第5,736,935号では、Lambropoulosが、やはりローカルトランシーバおよびリモートトランシーバを使用する類似のキーレス車両エントリ/エンジン始動システムを例示している。各リモートトランシーバが、固有セキュリティコードを格納し、ローカルトランシーバが、正当に車両へのエントリを得ることができるリモートトランシーバを表すセキュリティコードを格納する。リモートトランシーバがそのセキュリティコードを送信し、コードがローカルデータベースに格納されたコードと合致した場合、エンジンを始動することができる。こうした発明は、いずれも、中心位置への通信のための方法が組み込まれておらず、リモートトランシーバを特定の個人に関連付けることもしない。こうした特許は、新しい車両に設置された現在のキーレスエントリシステムに類似の装置を説明しているように見える。この手法には、いくつかのその他の特許が存在する。
【0020】
ホームセキュリティシステムと同様に、米国特許第5,874,889号に記載の、車両アラームを起動して中央監視端末に送信するHigdonのシステムおよび方法は、アラームシステムを分離するためにセキュリティコードおよびキーパッドを使用する。正しいセキュリティコード中のユーザタイプの場合、スタータブロッキングリレーが分離され、ユーザは車を始動することができる。しかし、ユーザが点火スイッチを「オン」の位置にする前にコードが入力されない場合、車両は、タイマを無音で開始し、タイマが満了する前にコードが入力されない場合、車両は、アラーム信号を中央ステーションにワイヤレスに無音で送信する。このシステムのセキュリティは、セキュリティコードを損なうことによって完全に無効にされる。さらに、このシステムは、監査目的でシステムが各ユーザを区別することを可能にしない。
【0021】
米国特許第5,519,260号において、Washingtonが、運転免許証が磁気ストライプなどのフォーマットで情報を用いて符号化される車両セキュリティシステムを例示している。カードが車内のリーダに挿入され、情報がカードから読み取られる。データが車内のローカルキャッシュに格納されたデータと合致する場合、車両点火システムが始動するように許可される。データがキャッシュ内に位置しない場合、車両は、ワイヤレストランスポンダを使用して、多数のユーザの情報を格納する中央ステーションと通信する。データが中央ステーション内に位置する場合、やはり車両点火システムが始動するよう許可される。この発明は、一部の応用例では有用であると思われるが、最初に検証され車両を始動することを許可された人が実際に車両を引き続き操作している人であることを確認するための継続的なチェックが提供されない。さらに、ドライバプライバシーが提供されず、またはそれに対する配慮がない。
【0022】
Takashimaの米国特許第6,352,045号は、トランスポンダセキュリティコードと、間に直接的電気接続なしにトランスポンダからセキュリティコードを受け取るように構成された通信装置と、通信装置によって受信されたセキュリティコードが所定の許可セキュリティコードと合致しない場合、エンジンの操作を防止するエンジン制御手
段とを備える船舶エンジン向けイモビライゼーションシステムを教示している。この発明では、プライバシー機能の言及または提供がない。
【0023】
米国特許第6,323,761号において、Sonが、光学認識を使用して車両のロック解除を許可された人を識別する車両セキュリティアクセスシステムを説明している。虹彩像パターンが車両内のデータベース内に登録および格納される。個人が、ドアまたはトランクをロック解除したいとき、ドアのハンドルを握る。これにより、室内灯が点灯し、カメラが個人に向けられる。このカメラは、個人の虹彩像を捕捉し、それを格納されたデータベースと比較する。虹彩像がデータベース内の虹彩像と合致する場合、ドアはロック解除される。そうでない場合、アラームが鳴る。このシステムはまた、カメラまたはコンピュータシステムが故障した場合のキーパッド/セキュリティコードの組合せも有する。このシステムは、生体計測的特徴を使用して個人を識別するので、上述のシステムよりもずっと安全かつ精密である。しかし、このシステムは、ワイヤレストランスポンダを使用して、車内にローカルに格納されたデータベース以外のデータベースにアクセスする方法を何ら説明していない。加えて、例示されるシステムは、かなりの補助装置を車両内に配置する必要があり、さらに、セルフポジショニング虹彩読取りカメラの視線にドライバ自身がまっすぐ向く必要がある。
【0024】
米国特許第6,400,042号において、Winnerが、車両内の車両制御ユニット(VCU)と通信する個人識別ユニット(PIU)をオペレータが持ち運ぶ盗難防止システムを説明している。VCUは、2つのモードを有する。一方のモードは、車両の操作を可能にし、第2のモードは、車両の操作を禁止する。PIUがVCUの範囲内に来たとき、この2つが情報およびデータを交換し、個人が許可オペレータであるかどうかを判定する。許可オペレータである場合、VCUは、モードを切り換えて車両の操作を可能にする。PIUが車両制御ユニットの範囲を離れたとき、VCUは、再びモードを切り換えて、車両の操作を禁止する。このシステムは、柔軟ではなく、生体計測技術を組み込んでもいない。
【0025】
(生体計測個人識別装置関連の技術)
Russelが、米国特許第5,481,265号、5,729,220号、6,201,484号、および6,441,770号において、「セキュアアクセストランシーバ」を説明している。この発明は、ボタン指向ユーザインターフェースを備えるワイヤレス技術を組み込むハンドヘルド電子装置を例示している。この装置が使用され、受信側装置またはシステムに対する個人と装置の識別が、共に実現される。
【0026】
Russell、Johnson、Petka、およびSingerが、米国特許出願第10/148,512号において、生体計測個人識別装置(BPID)を説明している。BPIDは、多因子認証を実現するハンドヘルド電子装置であり、その登録されたオペレータが、金融口座、医療記録、パスワード、個人識別番号、その他の機密データおよび情報などの格納された情報の公開および配布を制御することを可能にする。この装置は、クレジットカードサイズからキーフォブ(key fob)までの範囲に渡る形状因子を有する改ざん防止パッケージングを有する。様々な実施形態はまた、ユーザ対話用の生体計測スキャナ、液晶ディスプレイ(LCD)、およびボタン、ならびに他の電子装置との通信用ワイヤレスインターフェースも含む。この装置は、許可される生体計測的特徴のオペレータによって公開されるのでない限り、指紋を物理的または電子的に装置から除去または送信することができないように、かつ情報を装置から物理的または電子的に除去または送信することができないように開発されている。すべてのデータおよび処理は、セキュアに実施される。BPIDは、主に販売時点取引またはその他の金融取引向けであるが、様々なデータおよびアプリケーションを格納することができる。しかし、BPIDは、旅行の識別またはその他の旅行関連の機能のための方法を説明していない。
【発明の開示】
【課題を解決するための手段】
【0027】
本明細書で開示される発明は、様々な目的地へ、および様々な目的地から様々な時刻に旅行する個人を認証する完全なシステムを提供する。本発明は、個人識別装置を使用して、航空機、船舶、バス、車、および列車を含むいくつかの移動方法に対して、個人身元証明書の検証を調整する。個人の割り当てられた特権が、中央制御データベースと組み合わされる。旅行特権は、現在位置を出発する能力、所望の場所に旅行する能力、特定の時刻に旅行する能力、特定の移動方法を使用する能力であるとみなされる。こうした特権が、個人の申請時に評価され、管理機関の判断で周期的に更新される。
【0028】
本発明はまた、旅行特権のサブセットとして車両オペレータ特権の検証も含み、個人が様々な移動方法、目的地、および時間についての車両オペレータ特権を受けることを可能にする。本発明は、車両が通行中に車両オペレータ特権を与える方法を開示し、さらに、車両内に個人識別装置をドッキングする装置を提供する。
【発明を実施するための最良の形態】
【0029】
(旅行システム)
本明細書に記載の旅行識別システムは、個人識別装置を利用する。個人識別装置は、その許可所有者の識別および旅行特権の格納のための手段を提供する任意のハンドヘルド(handheld)装置である。これは、生体計測的に動作可能にされるハンドヘルドコンピュータまたはPDAからスマートカードにまで及ぶ。本発明の好ましい実施形態では、個人識別装置が米国特許出願第10/148,512号で説明されており、それを説明のために以下で使用する。BPIDは、通常、装置管理機関によって個人に対して発行され、また装置は、複数のアプリケーションを実行および格納することができるので、個人は、旅行許可を要求する前に既に装置を受け取っている可能性がある。旅行許可は、旅行管理機関によって監視される。旅行管理機関は、政府の一部または独立機関でよい。旅行管理機関は、様々な情報源を用いて申請者の証明書を検証し、個人の適切な旅行特権を判定し、旅行特権を個人のBPIDにダウンロードする任を担う。旅行管理機関はさらに、個人および関連する生体計測情報を装置に登録し、非対称鍵ペアを含むデジタル証明書を個人に発行する任を担う。旅行管理機関は、個人の識別についての旅行管理機関の公式な検証としてこのデジタル証明書を使用することを選ぶことができ、または、旅行管理機関自体の証明書を使用することを希望することができる。旅行管理機関はさらに、公開鍵、旅行許可、および各個人の名前をデータベースに保持する任を担う。このデータベースは、旅行管理機関の判断で、個人の許可の変更を反映するように更新される。旅行許可のタイプは、以下でさらに詳細に論じる。
【0030】
(旅行特権の取得)
(個人識別の検証)
図1に示されるように、個人は、旅行関連の特権を受ける前に旅行管理機関にいくつかの個人情報を堤出しなければならない。このデータは、例えば名前、誕生日、SSN、出生証明書またはLetter of No Recordなどの「標準情報」を含む。この情報はまた、申請者の顔写真、申請者の署名のデジタル表現、および指紋、あるいはその他の生体計測的特徴を含む。旅行管理機関は、この情報を5つの別個のデータベースに発信して個人の経歴を確認する。
【0031】
第1のデータベースは、連邦刑事裁判所132であり、エージェントが犯罪歴チェックを開始および完了することを可能にする。エージェントは、個人の犯罪記録を閲覧して、個人を証明書の候補者と評価することができる。例えば、フライトの妨害またはその他の妨害的振舞いでしばしば逮捕されている個人が航空機フライト特権を得ることを防ぐこと
ができる。あるいは、その個人のBPID100が個人の履歴を略述する特別な表示を受信することもできる。
【0032】
第2のデータベースは、公衆衛生局情報システム協会(NAPHSIS)によって計画された出生証明書データベース133であり、米国発行の出生証明書すべての電子ファイルを提供する。これにより、提示された出生証明書をエージェントが検証することが可能となる。エージェントはまた、提示されたSSNの妥当性を検証することを可能にするSSNデータベース134にもアクセスすることができる。
【0033】
次いでエージェントは、エージェントが個人の国内身分を検証することを可能にする移民帰化局(INS)データベース135にアクセスする。第5のデータベース136が旅行管理機関によって確立され、第5のデータベース136は、検証プロセス中にエージェントによって取り込まれたデジタル写真を格納する。このデータベースは、エージェントがこの新しい写真を既存の旅行特権保持者と比較することを可能にし、潜在的に異なる名前で複数の証明書を得ることを防ぐように意図される。
【0034】
(特権の割当て)
個人の証明書を検証する際、旅行管理機関は、割り当てる特権のレベルを決定する。旅行管理機関は、個人に関する証明書を作成し、関連する非対称鍵ペアを個人に割り当てる。この証明書は、旅行管理機関によって署名され、正当な証明書として受諾することができる。旅行管理機関は、検証した個人の名前およびそれに関連する公開鍵のデータベース137を維持する。上述のように、この証明書を前述のデジタル登録証明書として適用してBPID100にダウンロードすることができ、または旅行管理アプリケーションのための独自の証明書として使用することもできる。
【0035】
このデータベースは、割り当てた特権レベルも格納することができる。サンプルデータベースを図4に示す。好ましい実施形態に対して割り当てられる、目的地、日付/時刻、移動方法、および有効期限という4つの特定の特権が存在する。第1の特権である宛先は、個人がどこに旅行することができるかを確立する。第2の特権である日付/時刻は、個人がいつ旅行することができるかを確立する。例えば、軽犯罪で有罪となった個人は、禁固刑の終了後の時間に制限された日付範囲を有することができる。第3の特権である移動方法は、個人が旅行にどんなタイプの乗り物を使用することができるかを確立する。このフィールドは、個人が載ることのできる移動方法を指定することが意図され、車、バス、列車、航空機、および船を含むことができる。第4の特権は、有効期限であり、単に、証明書がもはや受諾されず、旅行管理機関によって再検証しなければならないときを表す。
【0036】
このデータベース137は、旅行管理機関が必要とみなしたときに、名前および写真136のデータベースとマージすることができる。加えて、データベース137は、旅行管理機関の要求に応じて格納された生体計測情報を組み込むことができる。しかし、この結果として本発明のプライバシー問題の一部が損なわれる可能性がある。
【0037】
(旅行アプリケーションの割当ておよび使用)
旅行管理機関は、識別の検証後に、関連するソフトウェアを個人のBPID100上にダウンロードする任を担う。以下で旅行アプリケーションと呼ぶものを図5に示す。旅行アプリケーションは、3つの異なる機能および2つの別個の変数を含む。
【0038】
個人は、通常、旅行アプリケーションを使用して旅行関連の行動を起こすことを望み、特権を機関に要求する。この機関は、旅行管理機関、売り手、またはその他の何らかの関係者でよい。旅行関係の行動は、通常、旅行のチケット/予約、搭乗券、入国港特権、または車両オペレータ特権の要求である。機関は、個人が認証を提供することを要求する。
BPID100に対する個人の認証と、対応する秘密鍵の所有権が保証された後、機関は、旅行管理機関のデータベース137に照会し、個人が要求を満たすための正しい特権を有することを検証する。機関はまた、この時点で機関特有の検証を実施することを望むこともできる。すべての検証を完了して機関が確信したとき、機関は、許可を組み込む旅行特権証明書を作成する。
【0039】
旅行特権証明書の各構成要素を図6に示す。旅行特権証明書の各構成要素は、通常、旅行の日付および時刻376、移動方法377、特権タイプ375、発行日372、および有効期限373、シリアル番号374、目的地378、およびその他の関連項目379からなる。例えば、航空便チケット購入要求を受けたときに、航空会社または売り手は、要求された日付および時刻に個人が航空機旅行特権を有することを検証する。そうである場合、売り手は、移動方法377を「航空機」に設定し、特権のタイプ375を「チケット」に設定し、日付および時刻376を個人の要求に通りにした旅行特権証明書を作成する。有効期限373は、単に証明書がもはや有効でなくなる日付を設定し、シリアル番号374は、証明書を一意に識別することを可能にする。加えて旅行特権証明書は、後の検証のために旅行管理機関または発行機関によって署名される。好ましくは、旅行アプリケーション247の第1機能は、BPID100がこうした旅行特権証明書を受信することを可能にし、それをアプリケーションにそれを格納させることを可能にする。
【0040】
好ましくは、旅行アプリケーション248の第2機能は、個人が、格納された旅行特権証明書を他の装置および個人に提示することを可能にする。個人は、すべての旅行特権証明書を1つのバッチで提示することができ、あるいは特定の日付/時刻範囲、移動方法、特権のタイプ、または有効期限を有するすべての証明書を求めて個人の装置を探索することができる。あるいは、個人は、証明書のシリアル番号を探索することもできる。この機能は、旅行特権証明書を送る前にユーザ認証を要求するように構成することができる。例えば、個人が5分前以内に認証機能を実行した場合にのみ、旅行特権証明書を送ることができる。このことは、旅行管理機関の判断で確立することができる。
【0041】
好ましくは、旅行アプリケーション249の第3の機能は、登録された個人がアプリケーション監査ログを提示することを可能にする。旅行特権証明書受領などのイベントがアプリケーションで発生したとき、アプリケーションは、イベントならびに日付および時刻などの関連するデータを、記憶域の監査ログ区間243内に記録する。こうしたレコードは、装置管理機関、旅行管理機関、または個人の望みに従って他の装置に周期的にダウンロードすることができる。
【0042】
(旅行アプリケーションを用いた認証)
図5に示すように、ヨーロッパまで飛行する旅行特権を所有する個人が、前述の方法でロンドンまで飛行するチケットを購入することを要求している(501)。チケットの売り手は、旅行管理機関のデータベース137に照会し(502)、飛行することを許可し、要求した日付にロンドンに旅行することを許可する特権を個人が有することを検証する(503)。この旅行は許容されるが、チケットの売り手は旅行特権証明書チケットを個人に発行する(504)ことに留意されたい。次に個人は、旅行アプリケーションの第1機能を使用して、旅行特権証明書チケットをBPID100にダウンロードする。
【0043】
要求した旅行日に、個人は空港に移動し、空港で個人は、空港で確立された規則に従ってチェックインで旅行アプリケーションの第2機能を使用して旅行特権証明書チケットを提示する(505)。旅行特権証明書チケットが有効であると航空会社が判定した場合(506)、個人は、旅行特権証明書搭乗券を受け取る(507)。個人が航空機ゲートに行ったとき、個人は、旅行アプリケーションの第2機能を使用して旅行特権証明書搭乗券を提示する(508)。BPIDから証明書を受信および処理する手段を備える回転式改
札口またはその他の改札口が、旅行特権証明書搭乗券を受け取り、それを検証する(509)。証明書が、内蔵されており、そのデジタル署名のために信用されるので、次に改札口は、個人がゲートにアクセスすることを許可することができ(510)、特権をデータベース137と突き合わせて再検証することなく、個人が航空機に搭乗することを許可することができる。次に旅行アプリケーションは、終了する(511)。証明書が正しく確認されない場合、または個人が要求した行動を実施するための適切な特権レベルを所有しない場合、アプリケーションは、やはり終了する(511)ことに留意されたい。
【0044】
このオペレーションは自動で、個人からの認証を要求しないことができ、または認証を要求することもできる。こうした規則は、必要に応じて旅行管理機関またはその他の機関の判断で確立することができる。明らかに、生体計測認証を使用することにより、システムでのセキュリティのレベルが向上する。
【0045】
(車両オペレータ特権)
旅行特権の注目すべきサブセットは、個人が車両を操作することを可能にする。旅行する事前の許可を持たない個人は、車両を操作すべきでなく、操作することができない。旅行は車両操作の固有の部分であるからである。例えば、メキシコに旅行する特権を有する個人は、メキシコシティへのルートまたはメキシコシティからのルートで商業トラックドライバとして雇用されることを望むことがある。次いで個人は、DMVまたはドライバ特権を判断するその他の機関からドライバ能力の公式証明書を受け取るまで、トラックドライバとして訓練を受ける。ドライバ能力の公式証明書は、タイプフィールドが「オペレータ」に設定された旅行特権証明書に変換され、前述の方法を用いてBPID100にダウンロードされる。
【0046】
車両オペレータ特権をBPID100に組み込むことの大きな利点は、限られた追加の装置で、車両操作中のすべての時間に車両および/または監視する機関に対してオペレータを認証することができることである。上記の例に追従して、個人は、危険な材料を搬送するトラックを運転することの許可を受けることができる。最近の国内テロリズムについての懸念に伴って、トラック運送会社は、トラックが強奪されていないことを検証するために、ドライバが運転中にドライバの身元を保証することを望んでいる。
【0047】
トラック運送会社は、複数の選択肢を有する。第1の選択肢は、長距離トランスポンダを車両に追加することである。多くのトラックがそのような無線を既に備えている。トランスポンダは、BPID100にインターフェースするように適合することができ、それによってBPID100はデータをトランスポンダに送信することができる(双方向通信は任意選択である)。旅行アプリケーションを有するBPID100は、車両オペレータの旅行特権証明書をトランスポンダに送信することができ、次いでトランスポンダは、証明書をトラック運送会社、旅行管理機関、またはその他の適切な関係者に送信することができる。旅行特権証明書送信機能は、ユーザ認証を要求するように構成することができるので、証明書の受信側は、正当な装置所有者が指紋を用いて送信を許可したことの保証を受けることができる。
【0048】
あるいは、トラック運送会社は、インテリジェントキルスイッチ(kill switch)をトラックに追加することもできる。このキルスイッチも、BPID100から旅行特権証明書を受信するように構成される。無効な証明書を受信した、または証明書を全く受信しなかったとキルスイッチが判定した場合、キルスイッチは、トラックの操作を安全に使用不能にすることができる。本発明の1つの最適な実施形態は、キルスイッチ機構をトランスポンダに組み込む。これにより、トラック運送会社、旅行管理機関などがドライバの特権を監視し、信号を送信して車両の操作を終了することが可能となる。
【0049】
前述のように、この監視システムを使用可能にする1つの重要な部分は、車両が動作中に旅行特権証明書の送信を要求することである。トラック運送会社、旅行管理機関、またはその他の適切な関係者は、個人がいつ証明書を送信しなければならないかを述べる規則を確立することができる。例えば、30分ごとなどの規則的な時間間隔で証明書を送信するようにドライバに要求することができる。あるいは、よりセキュリティを高めるために、ランダムな時間間隔で認証するようにドライバに促すこともできる。このシステムはまた、規則的またはランダムな走行距離間隔でユーザを認証するように同様に構成することもできる。
【0050】
この車両オペレータ監視システムをより良好に使用可能にするために、本発明は、車両が動作中にBPID100などの個人識別装置を安全に保持するドッキング装置を作成する。この装置を図6に示す。このドッキング装置は、ユーザが車両操作中に注意散慢を最小限に抑えて安全かつ容易に認証することを可能にする向きにBPID100を配置するように確立される。この装置は、データジャックコネクタ601、パワージャックコネクタ602、およびBPID100を保持するクレードル(cradle)603を備える。データジャック601は、BPID100から車両、トランスポンダ、またはその他の装置にデータを中継するのに使用することができる。パワージャックコネクタ602は、BPID100の電源に優先して、装置が電池電力を流出することを可能にする。クレードル603は、前述のように装置を保持し、ギヤシフトレバー、ステアリング装置、トランスポンダ、手ブレーキなどの様々な位置に配置することができる。
【0051】
上記の説明では、本発明の特定の実施形態を参照したが、本発明の精神から逸脱することなく、多数の修正を行えることを理解されよう。添付の特許請求の範囲は、本発明の真の範囲および精神内に含まれる修正形態を包含するものとする。
【図面の簡単な説明】
【0052】
【図1】個人が旅行アプリケーションを受信する許可を受ける前の証明書検証プロセスを示す図である。
【図2】個人名、公開鍵、および関連する旅行特権のサンプルデータベースを示す図である。
【図3】旅行アプリケーションのアーキテクチャを示す図である。
【図4】旅行特権証明書の構成要素を示す図である。
【図5】従来の航空便アプリケーションを使用して旅行特権証明書を受信および使用するプロセスを示す図である。
【図6】ドッキング装置を示す図である。マスタ参照数値リスト
【符号の説明】
【0053】
100 個人識別装置
132 連邦刑事裁判所のデータベース
133 NAPHSISデータベース
134 SSNデータベース
135 INSデータベース
136 他のデータベース
137 名前、公開鍵、および特権データベース
342 旅行特権証明書記憶空間
343 監査ログ記憶空間
347 旅行特権証明書受信機能
348 旅行特権証明書送信機能
349 監査ログ送信機能
471 旅行者の名前
472 証明書発行日
473 証明書有効期限
474 証明書シリアル番号
475 特権タイプ
476 特権日付および時刻
477 移動方法
478 目的地
479 その他
501 チケットを要求する
502 特権について旅行管理者のデータベースに照会する
503 個人が適切な特権を所有しているか?
504 旅行特権証明書チケットを発行する
505 旅行特権証明書チケットを提示する
506 チケットは有効か?
507 旅行特権証明書搭乗券を発行する
508 旅行特権証明書搭乗券を提示する
509 搭乗券は有効か?
510 ゲートへのアクセスを許可する
511 終了
601 データジャックコネクタ
602 パワージャックコネクタ
603 クレードル
【特許請求の範囲】
【請求項1】
潜在的旅行者の識別および旅行特権を保証するシステムであって、
a.個人についての識別および少なくとも1つの旅行特権を調査および記録する少なくとも1つの機関と、
b.識別した個人名、割り振った非対称鍵ペア、および前記少なくとも1つの旅行特権を関連付け、前記機関によって維持される少なくとも1つのデータベースであって、前記少なくとも1つの旅行特権が、
i.少なくとも1つの目的地制限と、
ii.少なくとも1つの日付および時刻制限と、
iii.少なくとも1つの移動方法制限と、
iv.少なくとも1つのオペレータ制限と、
v.少なくとも1つの旅行特権ごとの有効期限と、
を含む、データベースと、
c.前記少なくとも1つの旅行特権に関連し、識別した個人にさらに関連する少なくとも1つの旅行特権証明書と、
d.個人を登録および認証し、旅行特権証明書を管理する手段を含む少なくとも1つの個人識別装置と、
を含むシステム。
【請求項2】
前記旅行特権証明書は、
a.前記識別した個人のフルネームを含む名前フィールドと、
b.前記識別した個人が旅行することを許可される日付を含む日付フィールドと、
c.前記識別した個人が旅行することを許可される時刻を含む時刻フィールドと、
d.前記識別した個人が利用することを許可される移動方法のリストを含む移動方法フィールドと、
e.前記旅行特権証明書によって示される特権のタイプを含む特権タイプフィールドと、
f.前記旅行特権証明書が発行された日付を含む発行日フィールドと、
g.前記旅行特権証明書がもはや有効ではなくなる日付を含む有効期限フィールドと、
h.固有シリアル番号と、
i.前記旅行特権証明書の発行者によって作成されたデジタル署名と、
を含む、請求項1に記載のシステム。
【請求項3】
前記移動方法の前記リストは、列車、バス、車、飛行機、および船からなるグループから選択された少なくとも1つの方法を含む、請求項2に記載のシステム。
【請求項4】
前記特権タイプは、予約チケット、搭乗券、入国港許可、および車両オペレータ許可からなるグループから選択される、請求項2に記載のシステム。
【請求項5】
前記データベースは、各個人について、
a.前記個人の署名のデジタル表現を収集するステップと、
b.前記個人の顔のデジタル写真を収集するステップと、
c.前記個人の指紋のデジタル指紋テンプレートを収集するステップと、
d.前記個人から、出生証明書および社会保障番号を含む社会個人身元証明書を収集するステップと、
e.前記個人の前記身元を、
i.前記収集したデジタル指紋テンプレートを検討のために前記連邦刑事裁判所データベースに発信するステップと、
ii.前記収集した出生証明書を検討のために公衆衛生局情報システム協会のデータ
ベースに発信するステップと、
iii.前記収集した社会保障番号を検討のために社会保障番号のデータベースに発信するステップと、
iv.前記個人名および前記収集した社会保障番号を検討のために移民帰化局のデータベースに発信するステップと、
v.前記個人名および前記収集したデジタル写真を検討のために既に登録された個人名のデータベースに発信するステップと、
によって検証するステップと、
j.前記個人が旅行することを許可されるかどうか判定するステップと、
k.前記個人について許可された目的地を判定するステップと、
l.前記個人について許可された旅行時刻および期間を判定するステップと、
m.前記個人の許可された移動方法を判定するステップと、
n.前記個人についておデジタル証明書および非対称鍵ペアを作成するステップと、
o.前記個人名、前記収集したデジタル写真、公開鍵、有効期限、および前記判定した特権を既に登録された個人のデータベースに追加するステップと、
を完了することによって形成される、請求項1に記載のシステム。
【請求項6】
個人を登録および認証し、旅行特権証明書を管理する前記手段は、
a.少なくとも1つの旅行特権証明書を前記個人識別装置にダウンロードする第1ダウンロード手段と、
b.前記個人識別装置から少なくとも1つの旅行特権証明書を送信する送信手段と、
c.前記個人識別装置上に少なくとも1つの注目すべき出来事を記録する記録手段と、
d.前記個人識別装置上に少なくとも1つの旅行特権証明書を格納する第1記憶手段と、
e.前記個人識別装置上に少なくとも1つのアプリケーション監査ログを格納する第2記憶手段と、
を備える、請求項1に記載のシステム。
【請求項7】
a.前記旅行特権証明書を発行する前に個人の身元を検証する検証手段と、
b.前記個人識別装置上にコンピューティング機構をダウンロードする第2ダウンロード手段と、
c.前記についてのデジタル証明書および非対称鍵ペアを前記個人識別装置内にダウンロードする第3ダウンロード手段と、
をさらに備える請求項6に記載のシステム。
【請求項8】
旅行関連の行動を完了するようにとの個人の要求は、
a.前記個人識別装置に対して前記個人を認証するステップと、
b.格納したデジタル証明書の有効期限を検証するステップと、
c.登録された個人、関連する特権、および公開鍵のデータベースにアクセスし、前記個人の、前記秘密鍵の所有権を検証するステップと、
d.前記データベース内の前記個人に割り当てられた特権を閲覧するステップと、
e.前記個人が、前記要求した行動を妨げる何らかの既存の表記、制限、条件のうち少なくとも1つを有するかどうかを判定するステップと、
f.追加の、行動特有の表記、制限、および条件を判定するステップと、
g.旅行特権証明書を作成するステップと、
h.前記旅行特権証明書を受け取るステップと、
i.前記旅行特権証明書を格納するステップと、
によって評価および実施される、請求項6に記載のシステム。
【請求項9】
前記少なくとも1つの旅行特権証明書は、
a.前記個人識別装置に対して前記個人を認証するステップと、
b.格納したデジタル証明書の有効期限を検証するステップと、
c.登録された個人、関連する特権、および公開鍵のデータベースにアクセスし、前記個人の、前記秘密鍵の所有権を検証するステップと、
d.送信のために前記少なくとも1つの旅行特権証明書を選択するステップと、
e.格納された秘密鍵で前記少なくとも1つの旅行特権証明書をデジタルに署名するステップと、
f.前記署名した旅行特権証明書を送信するステップと、
によって送信される、請求項6に記載のシステム。
【請求項10】
前記移動方法は、前記個人によって操作されるモータ車両であり、車両操作中に前記個人のモータ車両オペレータ特権を検証する手段をさらに備える請求項2に記載のシステム。
【請求項11】
前記個人のモータ車両オペレータ特権は、規則的かつ事前定義された時間間隔で検証される、請求項10に記載のシステム。
【請求項12】
前記個人のモータ車両オペレータ特権は、ランダムな時間間隔で検証される請求項10に記載のシステム。
【請求項13】
前記個人のモータ車両オペレータ特権は、規則的かつ事前定義された距離間隔で検証される請求項10に記載のシステム。
【請求項14】
前記個人のモータ車両オペレータ特権は、ランダムな距離間隔で検証される請求項10に記載のシステム。
【請求項15】
検証が達成されない場合、前記モータ車両は、使用不能にされる、請求項10に記載のシステム。
【請求項16】
車両操作中に前記個人のモータ車両オペレータ特権を検証する前記手段は、前記モータ車両に配置されたトランスポンダである、請求項10に記載のシステム。
【請求項17】
前記トランスポンダは、前記車両を使用不能にするローカルキルスイッチに接続され、前記キルスイッチを動作可能にするリモートの機関からメッセージを受信する、請求項16に記載のシステム。
【請求項18】
a.前記個人識別装置を前記モータ車両内の特定の位置に固定するクレードルと、
b.前記個人識別装置に電力を供給し、前記クレードルに結合された電力コネクタであって、前記個人識別装置がフルパワーにし、既存の電池電力に優先することを可能にするようにさらに適合される電力コネクタと、
c.前記個人識別装置と車両ベースのトランスポンダとの間の通信を中継し、前記電力コネクタに結合されたデータリンクコネクタと、
をさらに備える請求項10に記載のシステム。
【請求項19】
前記クレードルは、車両ギヤシフトレバー、車両ステアリング装置、車両トランスポンダ、および車両手ブレーキ装置からなるグループから選択されたモータ車両要素に固定される、請求項18に記載のシステム。
【請求項20】
旅行する個人の身元を監視および検証するシステムであって、
各旅行する個人についての身元情報を収集する手段であって、前記収集する身元情報が
、前記個人についての少なくとも1つの生体計測的特徴を含む、手段と、
前記収集した身元情報を検証する手段と、
前記旅行する個人についての少なくとも1つの旅行特権を判定する手段と、
前記判定した少なくとも1つの旅行特権に基づいて電子旅行特権証明書を作成する手段と、
個人識別装置と、
前記電子旅行特権証明書を前記個人識別装置に送信する手段と、
前記旅行する個人の旅行中に必要に応じて前記個人識別装置から前記電子旅行特権証明書を読み取る手段と、
を備えるシステム。
【請求項1】
潜在的旅行者の識別および旅行特権を保証するシステムであって、
a.個人についての識別および少なくとも1つの旅行特権を調査および記録する少なくとも1つの機関と、
b.識別した個人名、割り振った非対称鍵ペア、および前記少なくとも1つの旅行特権を関連付け、前記機関によって維持される少なくとも1つのデータベースであって、前記少なくとも1つの旅行特権が、
i.少なくとも1つの目的地制限と、
ii.少なくとも1つの日付および時刻制限と、
iii.少なくとも1つの移動方法制限と、
iv.少なくとも1つのオペレータ制限と、
v.少なくとも1つの旅行特権ごとの有効期限と、
を含む、データベースと、
c.前記少なくとも1つの旅行特権に関連し、識別した個人にさらに関連する少なくとも1つの旅行特権証明書と、
d.個人を登録および認証し、旅行特権証明書を管理する手段を含む少なくとも1つの個人識別装置と、
を含むシステム。
【請求項2】
前記旅行特権証明書は、
a.前記識別した個人のフルネームを含む名前フィールドと、
b.前記識別した個人が旅行することを許可される日付を含む日付フィールドと、
c.前記識別した個人が旅行することを許可される時刻を含む時刻フィールドと、
d.前記識別した個人が利用することを許可される移動方法のリストを含む移動方法フィールドと、
e.前記旅行特権証明書によって示される特権のタイプを含む特権タイプフィールドと、
f.前記旅行特権証明書が発行された日付を含む発行日フィールドと、
g.前記旅行特権証明書がもはや有効ではなくなる日付を含む有効期限フィールドと、
h.固有シリアル番号と、
i.前記旅行特権証明書の発行者によって作成されたデジタル署名と、
を含む、請求項1に記載のシステム。
【請求項3】
前記移動方法の前記リストは、列車、バス、車、飛行機、および船からなるグループから選択された少なくとも1つの方法を含む、請求項2に記載のシステム。
【請求項4】
前記特権タイプは、予約チケット、搭乗券、入国港許可、および車両オペレータ許可からなるグループから選択される、請求項2に記載のシステム。
【請求項5】
前記データベースは、各個人について、
a.前記個人の署名のデジタル表現を収集するステップと、
b.前記個人の顔のデジタル写真を収集するステップと、
c.前記個人の指紋のデジタル指紋テンプレートを収集するステップと、
d.前記個人から、出生証明書および社会保障番号を含む社会個人身元証明書を収集するステップと、
e.前記個人の前記身元を、
i.前記収集したデジタル指紋テンプレートを検討のために前記連邦刑事裁判所データベースに発信するステップと、
ii.前記収集した出生証明書を検討のために公衆衛生局情報システム協会のデータ
ベースに発信するステップと、
iii.前記収集した社会保障番号を検討のために社会保障番号のデータベースに発信するステップと、
iv.前記個人名および前記収集した社会保障番号を検討のために移民帰化局のデータベースに発信するステップと、
v.前記個人名および前記収集したデジタル写真を検討のために既に登録された個人名のデータベースに発信するステップと、
によって検証するステップと、
j.前記個人が旅行することを許可されるかどうか判定するステップと、
k.前記個人について許可された目的地を判定するステップと、
l.前記個人について許可された旅行時刻および期間を判定するステップと、
m.前記個人の許可された移動方法を判定するステップと、
n.前記個人についておデジタル証明書および非対称鍵ペアを作成するステップと、
o.前記個人名、前記収集したデジタル写真、公開鍵、有効期限、および前記判定した特権を既に登録された個人のデータベースに追加するステップと、
を完了することによって形成される、請求項1に記載のシステム。
【請求項6】
個人を登録および認証し、旅行特権証明書を管理する前記手段は、
a.少なくとも1つの旅行特権証明書を前記個人識別装置にダウンロードする第1ダウンロード手段と、
b.前記個人識別装置から少なくとも1つの旅行特権証明書を送信する送信手段と、
c.前記個人識別装置上に少なくとも1つの注目すべき出来事を記録する記録手段と、
d.前記個人識別装置上に少なくとも1つの旅行特権証明書を格納する第1記憶手段と、
e.前記個人識別装置上に少なくとも1つのアプリケーション監査ログを格納する第2記憶手段と、
を備える、請求項1に記載のシステム。
【請求項7】
a.前記旅行特権証明書を発行する前に個人の身元を検証する検証手段と、
b.前記個人識別装置上にコンピューティング機構をダウンロードする第2ダウンロード手段と、
c.前記についてのデジタル証明書および非対称鍵ペアを前記個人識別装置内にダウンロードする第3ダウンロード手段と、
をさらに備える請求項6に記載のシステム。
【請求項8】
旅行関連の行動を完了するようにとの個人の要求は、
a.前記個人識別装置に対して前記個人を認証するステップと、
b.格納したデジタル証明書の有効期限を検証するステップと、
c.登録された個人、関連する特権、および公開鍵のデータベースにアクセスし、前記個人の、前記秘密鍵の所有権を検証するステップと、
d.前記データベース内の前記個人に割り当てられた特権を閲覧するステップと、
e.前記個人が、前記要求した行動を妨げる何らかの既存の表記、制限、条件のうち少なくとも1つを有するかどうかを判定するステップと、
f.追加の、行動特有の表記、制限、および条件を判定するステップと、
g.旅行特権証明書を作成するステップと、
h.前記旅行特権証明書を受け取るステップと、
i.前記旅行特権証明書を格納するステップと、
によって評価および実施される、請求項6に記載のシステム。
【請求項9】
前記少なくとも1つの旅行特権証明書は、
a.前記個人識別装置に対して前記個人を認証するステップと、
b.格納したデジタル証明書の有効期限を検証するステップと、
c.登録された個人、関連する特権、および公開鍵のデータベースにアクセスし、前記個人の、前記秘密鍵の所有権を検証するステップと、
d.送信のために前記少なくとも1つの旅行特権証明書を選択するステップと、
e.格納された秘密鍵で前記少なくとも1つの旅行特権証明書をデジタルに署名するステップと、
f.前記署名した旅行特権証明書を送信するステップと、
によって送信される、請求項6に記載のシステム。
【請求項10】
前記移動方法は、前記個人によって操作されるモータ車両であり、車両操作中に前記個人のモータ車両オペレータ特権を検証する手段をさらに備える請求項2に記載のシステム。
【請求項11】
前記個人のモータ車両オペレータ特権は、規則的かつ事前定義された時間間隔で検証される、請求項10に記載のシステム。
【請求項12】
前記個人のモータ車両オペレータ特権は、ランダムな時間間隔で検証される請求項10に記載のシステム。
【請求項13】
前記個人のモータ車両オペレータ特権は、規則的かつ事前定義された距離間隔で検証される請求項10に記載のシステム。
【請求項14】
前記個人のモータ車両オペレータ特権は、ランダムな距離間隔で検証される請求項10に記載のシステム。
【請求項15】
検証が達成されない場合、前記モータ車両は、使用不能にされる、請求項10に記載のシステム。
【請求項16】
車両操作中に前記個人のモータ車両オペレータ特権を検証する前記手段は、前記モータ車両に配置されたトランスポンダである、請求項10に記載のシステム。
【請求項17】
前記トランスポンダは、前記車両を使用不能にするローカルキルスイッチに接続され、前記キルスイッチを動作可能にするリモートの機関からメッセージを受信する、請求項16に記載のシステム。
【請求項18】
a.前記個人識別装置を前記モータ車両内の特定の位置に固定するクレードルと、
b.前記個人識別装置に電力を供給し、前記クレードルに結合された電力コネクタであって、前記個人識別装置がフルパワーにし、既存の電池電力に優先することを可能にするようにさらに適合される電力コネクタと、
c.前記個人識別装置と車両ベースのトランスポンダとの間の通信を中継し、前記電力コネクタに結合されたデータリンクコネクタと、
をさらに備える請求項10に記載のシステム。
【請求項19】
前記クレードルは、車両ギヤシフトレバー、車両ステアリング装置、車両トランスポンダ、および車両手ブレーキ装置からなるグループから選択されたモータ車両要素に固定される、請求項18に記載のシステム。
【請求項20】
旅行する個人の身元を監視および検証するシステムであって、
各旅行する個人についての身元情報を収集する手段であって、前記収集する身元情報が
、前記個人についての少なくとも1つの生体計測的特徴を含む、手段と、
前記収集した身元情報を検証する手段と、
前記旅行する個人についての少なくとも1つの旅行特権を判定する手段と、
前記判定した少なくとも1つの旅行特権に基づいて電子旅行特権証明書を作成する手段と、
個人識別装置と、
前記電子旅行特権証明書を前記個人識別装置に送信する手段と、
前記旅行する個人の旅行中に必要に応じて前記個人識別装置から前記電子旅行特権証明書を読み取る手段と、
を備えるシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−118069(P2010−118069A)
【公開日】平成22年5月27日(2010.5.27)
【国際特許分類】
【外国語出願】
【出願番号】特願2010−4030(P2010−4030)
【出願日】平成22年1月12日(2010.1.12)
【分割の表示】特願2004−521709(P2004−521709)の分割
【原出願日】平成15年7月14日(2003.7.14)
【出願人】(505015864)プリヴァリス・インコーポレーテッド (6)
【Fターム(参考)】
【公開日】平成22年5月27日(2010.5.27)
【国際特許分類】
【出願番号】特願2010−4030(P2010−4030)
【出願日】平成22年1月12日(2010.1.12)
【分割の表示】特願2004−521709(P2004−521709)の分割
【原出願日】平成15年7月14日(2003.7.14)
【出願人】(505015864)プリヴァリス・インコーポレーテッド (6)
【Fターム(参考)】
[ Back to top ]